黑客可以秒杀月饼，还可以秒杀你的心脏

　　欢迎关注“创事记”的微信订阅号：sinachuangshiji

　　文/ 阮嘉俊

　　有了黑客的存在，"道高一尺，魔高一丈"的说法似乎得到了印证，因为不论我们的防线设置得多么森严，黑客总是有机可乘。但有时在媒体浓墨重彩渲染的背后，可能隐藏着一个不为人知的阴谋。

　　最近，引发阿里"血案"的月饼事件在互联网上炒得沸沸扬扬。实际上，程序人员通过高超的技术作弊的案件并不罕见。在万物联网的当下，智能化硬件在我们的生活中已经占据了非常重要的地位，即便在医疗领域中也是如此。在这个背景下，黑客所能做到的不再局限于盗取几盒月饼那么简单，他们甚至可以入侵你的心脏。

　　据波士顿医院的首席信息官约翰•哈拉姆卡（John Halamka）透露，医院每隔 7 秒就会迎来一次攻击，这些攻击的来源非常广泛，包括黑客活动、有组织的犯罪行为，甚至是麻省理工学院（MIT）的高材生。

　　在科幻小说、电影和主流媒体的渲染下，"黑客"俨然成为了一个神秘的群体，他们总能轻松绕过官方的防线，并对目标施加攻击。有了黑客的存在，"道高一尺，魔高一丈"的说法似乎得到了印证，因为不论我们的防线设置得多么森严，黑客总是有机可乘。但有时在媒体浓墨重彩渲染的背后，可能隐藏着一个不为人知的阴谋。

　　起搏器也能被黑，是隐患还是阴谋？

　　在今年 8 月末，一份报告显示由"St。 Jude Medical"公司制造的起搏器和其他心脏植入设备存在严重的安全隐患。这篇报告在舆论界掀起了巨大的波澜，毕竟一旦这些设备遭受入侵，有可能会给病人造成不可挽回的后果。但密歇根大学（University of Michigan）的副教授、安全专家凯文·付（Kevin Fu）却对这份报告的准确性提出了质疑。

　　在采访中，付教授直言报告中的材料并不能证明涉事公司生产的设备存在被黑客入侵，甚至是停止运作的隐患。"报告方应该负起责任。"付教授在采访中表示，"我并不是指这份报告存在虚构的地方，我只是说报告所提供的证据不够有力。"

　　此外，付教授表示报告所提供的一个截图有可能存在过度解读的情况，他认为这幅截图所显示的后果可能不如报告所宣称的那般严重。

　　据悉，这份报告由网络安全研究公司"MedSec Holdings"操刀，背后的委托方是"Muddy Waters"，这两家公司存在一定的利益关系：

　　此前 Muddy Waters 曾经卖空 St。 Jude Medical 公司的股票，而 MedSec 公司则可以从中分一杯羹。报告称黑客可以通过病人和医生交换信息的居家系统入侵 St。 Jude Medical 公司的设备，甚至有可能让设备陷入失灵状态。MedSec 公司甚至在报告中直指 St。 Jude Medical 公司需要召回已经销售的设备，并预计后者需要在后续的法律诉讼中支付高达 64 亿美元的赔偿金额。

　　我们不妨感受一下报告的摘要原文：

　　一旦产品存在缺陷，即便是低水准的黑客也会有机可乘。而 St。 Jude Medical 公司的信息交互系统恰好会成为黑客入侵的钥匙，这款系统可以为黑客提供无数的入侵机会，进而让整个设备的生态系统暴露在被攻击的威胁之下。类似的系统在 Ebay 非常常见，售价通常在 35 美元以下。这款系统甚至缺失最基本的安全机制，且据报告显示，这些缺陷有可能会导致设备陷入失灵状态，进而对用户造成损害。

　　我们认为法庭将会认定 St。 Jude Medical 公司的设备存在重大过失，除非公司能够成功化解诉讼。但不论如何，St。 Jude Medical 公司将不可避免地陷入诉讼当中。

　　更耸人听闻的是，MedSec 公司在报告中宣称他们可以通过入侵驱使起搏器将运行频率提升至危险水平，甚至可以在入侵中耗光设备的电池。但付教授却未能重现这两种入侵手段，目前他的团队还在继续对这两项指控作出调查。

　　双方各执其词，联网的医疗设备究竟有多安全？

　　尽管一切似乎都散发着阴谋论的味道，但付教授还是以四两拨千斤的口吻说道："我认为这份报告的作者绝对是一帮才华洋溢的安全专家，但我们依然对他们是否能正确诠释临床效果心存疑虑，毕竟产品的固有缺陷不一定会对病人造成不可挽回的伤害。"

　　付教授的关注点是报告中的一张截图，MedSec 公司在报告中以这张截图表明设备正处于失灵状态之中。付教授决定通过实验一探究竟。

　　在实验中，付教授的团队将 St。 Jude Medical 公司的程序系统和设备连接到了一块。设置完成后，团队成员可以在程序中制造各种各样的情况，以测试设备在各种情况下的反应。付教授的团队甚至在实验中重现了和报告截图一模一样的效果，但起搏器却依然能够以正常的频率运行。

　　"起搏器的运行频率并没有发生改变，屏幕上所显示的信息仅仅是轻微的错误警告。"付教授表示，"这个错误警告表明设备和心脏组织之间的连接出现了问题，当设备和病人的连接出现中断时，你就会看到这样的画面。"

　　但很遗憾，付教授的实验并没有证明任何决定性的事件，因为 MedSec 公司所提供的截图可能确实来自足以致使设备发生崩溃的攻击。Muddy Waters 公司甚至还发布了一份声明：

　　密歇根大学对于我们的研究并没有一个明确的认识，但我们对此并不意外。为了避免为潜在的黑客提供攻击设备的操作指引，我们特意隐匿了和设备的缺陷和攻击相关的细节信息。这项举措恰好体现了我们对消息的发布负责的态度。

　　付教授表示他尚不能对报告的精确性作出评价，也不确定 St- Jude Medical 公司是否存在大规模召回产品的可能性。不过他指出，一旦涉事公司决定大规模召回设备，这将会成为医疗设备生产商首次因安全问题引发的召回事件。

　　此外，即便 St。 Jude Medical 公司的技术确实存在安全隐患，监管部门还需仔细评估这些隐患可能给病人带来的风险。"非常遗憾，这份报告所涉及的医疗数据实在是太少了。但从我们所找到的一处医疗数据看来，确实存在被曲解的情况。"他说道。

　　在万物联网的当下，我们应如何防范医疗器械被黑？

　　医疗设备的联网应用越来越普遍，在这个黑客横行的年代，医疗设备已经很难再独善其身。为了更好地保障病人的安全，医疗设备厂商需要认真对待设备的网络安全设置，以确保设备能持续可靠地运行。

　　那么在设计产品的时候，设备厂商是否有足够的安全意识呢？面对这个问题，我们只能给出既是而非的答案。有些厂商会踊跃参加和医疗设备的安全性相关的会议，但有些厂商还是会对这类会议嗤之以鼻。

　　设备厂商首先需要端正心态，毕竟安全会议上的破解演示并没有任何恶意。如果厂商不严肃对待设备的安全性，它们很可能会被黑客的入侵弄得措手不及。安全会议上所的探讨问题通常会比较严肃，毕竟哗众取宠的氛围并不利于安全技术的完善。

　　医疗设备最难应付的是来自恶意软件的攻击，毕竟许多医疗设备所运行的还是 10 年前的操作系统，其中以 Windows XP 的应用最为广泛。一旦连接到网络，这类操作系统很可能会成为恶意软件的攻击目标。

　　在当下，医院已经成为了一个高度复杂的生态系统，联网医疗设备和技术的普及也为医院平添了内部风险，医院和病人有可能会暴露在黑客的威胁之中。遗憾的是，医院往往并不具备确保设备安全的技能和预算，毕竟每台医疗设备的维护成本有可能高达 30 万美元。在这种情况下，医院、政府、研究机构和设备生产商应该携手合作，以在最大程度上保障设备和病人的安全。

　　早在 2002 年，比尔•盖茨（Bill Gates）已经注意到了系统安全的重要性，并授予微软公司的工程师攻克系统安全问题的预算和自主权限。医疗设备厂商的领导层应该向盖茨看齐，他们需要积累和设备安全相关的知识及技术，以便更好地提升设备的安全性。在现阶段，医疗领域的参与者需要迅速行动起来，以填补这些年来一直被忽视的安全缺口。

　　本文作者 阮嘉俊，首发于头条、微信号：50 度硅-面向上层精英的早午餐读物，未经直接授权禁止转载（标注出处也不可以）。如需转载，请与微信号 t2ipo001 联系，并注明来意。

（声明：本文仅代表作者观点，不代表新浪网立场。）